Onze methode
De meeste tools spugen een lijst kwetsbaarheden uit en laten u uitzoeken wat u ermee moet. Wij doen het omgekeerd: we gaan met uw omgeving aan tafel, volgen elk verzoek, documenteren elke laag en geven u een geprioriteerd plan waar u morgen mee aan de slag kunt.
Het doel is geen langere lijst met kwetsbaarheden — maar een scherper beeld van waar u kwetsbaar bent, waarom het ertoe doet, en wat u als eerste moet aanpakken. Dát is het verschil tussen scannen en beoordelen.
We beginnen met in kaart brengen wat er echt draait: systemen, accounts, perimeters, integraties. U kunt niet beschermen wat u niet ziet.
Edge, applicatie, netwerk, backend, data. Elke laag krijgt zijn eigen analyse — geen enkele perimeter-scan.
Een geschreven Security Score met rood/oranje/groen prioriteiten en concrete vervolgstappen. Van u, om te behouden, te delen, om naar te handelen.
Domein 1 — Toegangsbeheer & identiteiten
Elke inbraak begint bij een account. We auditen identiteit van A tot Z: mensen, rechten, SSO, offboarding en noodtoegang.
Multi-Factor Authentication overal afgedwongen, met een authenticator-app als fallback.
Aparte admin-accounts met volledige audit-logging op elke escalatie.
Offline opgeslagen noodaccount, zodat een storing van de identity-provider u niet buitensluit.
SSO op primaire tools; secundaire apps moeten nog via SAML/OIDC worden aangesloten.
Team-brede wachtwoordmanager met aparte vaults per afdeling en in/uit-diensttreding-flow.
Gedocumenteerd offboarding-script voor elk systeem — geen vergeten toegang.
Domein 2 — Gegevensbescherming & back-up
We auditen de hele beschermingscyclus: wat is versleuteld, wat is geback-upt, hoe vaak het getest wordt en hoe snel u terug bent.
Dagelijkse back-ups gekoppeld aan een kwartaalrestore in een testomgeving met gemeten hersteltijd.
Schijfversleuteling op elke laptop en platform-managed keys op opslag en databases.
Actueel, getekend beleid met actieve informatie-bescherming-labels in gebruik.
Gedocumenteerde Recovery Time en Recovery Point Objectives per systeem.
Kwartaalritme met runbooks, vaste eigenaar en gedateerd bewijs in het auditlog.
Geschreven DR-plan met prioriteiten, afhankelijkheden en een jaarlijkse walk-through.
De back-up-cyclus die wij met u draaien
Geautomatiseerde dagelijkse snapshots, versleuteld in transit en at rest.
Kwartaalrestore op een testomgeving — geen excuses, geen uitzonderingen.
Echte recovery tegen een echte RTO — gemeten in uren, niet in beloftes.
Integriteitscontrole + sign-off, gearchiveerd als bewijs voor auditors.
Back-up is geen actie, het is een cyclus — de enige stap die telt is de restore.
Domein 3 — Infrastructuur & netwerkbeveiliging
Internet-facing edges, WiFi op kantoor, VLAN-grenzen, patch-ritme. We volgen het verzoek van het open internet door uw perimeter tot in de workloads.
We brengen de werkelijke topologie in kaart — publieke IP's, WAF-regels, VLAN's en ingress — en toetsen elke hop aan zijn verwachte configuratie.
Edge-beveiliging met rate-limiting en bot management op de publieke domeinen.
WPA3-Enterprise met directory-authenticatie — geen gedeeld WPA2-wachtwoord.
Aparte VLAN's voor Staff, IoT en Guest — geen plat kantoor-LAN.
OS- en applicatie-updates binnen 30 dagen, met gedocumenteerde uitzonderingen.
Uitgaande DNS-filtering en een herziene firewall-set.
Identity-aware toegang op interne services, geen impliciet netwerk-vertrouwen.
Domein 4 — Incident response & continuïteit
Een incident response-plan is een spier, geen document. We toetsen het plan, het oefenritme, de externe contacten en de post-incident-loop.
Actueel IR-plan met rollen, escalatiepaden en een duidelijke communicatieboom.
Wat we controleren: Versie, datum van laatste review, eigenaarschap en opslaglocatie — en of de mensen in het plan hier nog werken.
Halfjaarlijkse tabletop-oefeningen met wisselende scenario's zodat het team het plan kent.
Wat we controleren: Datum van laatste oefening, scenario's, lessen, en doorgevoerde wijzigingen in het plan.
CERT.NL, verzekeraar, juridisch en forensisch met 24/7-nummers in het IR-plan.
Wat we controleren: Elk contact getest op actualiteit en een vooraf afgesproken scope, zodat u tijdens een crisis niet hoeft te onderhandelen.
Vooraf opgestelde standpunten voor medewerkers, klanten, toezichthouders en pers — juridisch goedgekeurd.
Wat we controleren: Sjablonen per doelgroep, vastgestelde escalatiedrempels en één bron van waarheid voor statusupdates.
Gestructureerde post-mortem binnen 14 dagen, met actiepunten tot afronding gevolgd.
Wat we controleren: Blameless-sjabloon, actieregister en een agendaherinnering om 90 dagen na het incident de controles opnieuw te toetsen.
Domein 5 — Compliance & derde-partijrisico
AVG-registers, verwerkingsinventarissen, inzageverzoeken, leverancier-reviews. We auditen de registers en het derde-partij-risico — en u houdt een register over dat echt actueel is.
E-mailplatform-filtering met safe-link-, attachment- en anti-phishing-beleid afgestemd op uw domeinen.
Actueel register met elke verwerking, grondslag, bewaartermijn en eigenaar.
Gedocumenteerd proces voor inzageverzoeken met eigenaar, SLA en standaardantwoorden.
Risico-gebaseerde beoordeling van elke leverancier met toegang tot productie- of persoonsgegevens.
PIA voor elk nieuw systeem of leverancier dat persoonsgegevens raakt, gearchiveerd bij het register.
Compliance-bewijs op één doorzoekbare plek — beleid, sign-offs, oefenlogs, reviews.
Het eindproduct
Elke bevinding uit de vijf domeinen hierboven landt in één geschreven rapport, gescoord op een drie-tier systeem waar u zonder vertaler mee aan de slag kunt. Dit is wat in uw handen blijft nadat we vertrekken.
Toegangsbeheer, gegevensbescherming, infrastructuur, incident response, compliance — elk met status, bevinding en bewijs.
Per bevinding: prioriteit, eigenaar, inschatting en een directe volgende actie — geen vage 'evalueer en verbeter'.
Architectuurdiagrammen in het rapport, gekleurd in healthy/at-risk/critical zodat de prent bij de tekst past.
Uw Security Score
U ontvangt geen stapel papier vol vaktermen. U krijgt een Score: per onderdeel direct duidelijk wat er goed gaat en wat aandacht nodig heeft.
Kritieke kwetsbaarheid — directe actie vereist. We lossen dit op tijdens de dag als het kan.
Aandacht nodig — plan dit binnen 30 dagen in. We geven u de stappen.
In orde — dit onderdeel is goed geregeld. Zwart op wit bevestigd.
Gemiddeld vinden we 8–12 punten per keuring. Wat we vinden, lossen we — als het kan — dezelfde dag op.
Optioneel — quick wins op de dag zelf
Als we na de volledige keuring tijd over hebben, voeren we de wijzigingen door die minuten kosten — geen weken — zodat u veiliger naar bed gaat dan u wakker werd.
Bot-management, browser-integrity-checks en security level aanzetten voor de paden die het nodig hebben. Vijf minuten werk, echt effect.
Behoorlijke limieten op het contactformulier, login en wachtwoord-reset. Snijdt de eenvoudigste misbruikvectoren af voordat ze beginnen.
Oud-medewerkers, oude admin-accounts en ongebruikte API-keys uit niveau 1 intrekken. De goedkoopste winst in het rapport.
HSTS, X-Frame-Options en een basis-CSP erin. Eén config-wijziging aan de edge, voor altijd geregeld.
Eerlijke kanttekening: Quick wins gebeuren alleen als de volledige keuring met tijd over eindigt. We ruilen diepte nooit in voor fixes — een grondige audit is het eindproduct, de fixes zijn de bonus.
Waarom Korur anders is
Genoeg tools verkopen u een scan. Heel weinig mensen komen een dag bij u op kantoor zitten en leggen uit wat ze gevonden hebben. Dit is het verschil.
U ziet precies wat we op elk niveau doen — geen zwarte doos, geen propriëtair mysterie. De methode is het eindproduct.
Inventarisatie, edge, applicatie, netwerk, backend, data, integraties. De meeste scans dekken één laag; wij dekken het pad.
Als een probleem in minuten op te lossen is, lossen we het op voor we doorgaan. U vertrekt met resultaten, niet alleen met een lijst.
Via onze partnership-dienst blijft de Security Score live — u ziet uw houding veranderen terwijl u de aanbevelingen oppakt.
Alles wat we vinden, belandt in een document dat uw auditor, uw CTO en uw toekomstige collega's kunnen lezen. De kennis vertrekt niet met ons.
Wanneer u er klaar voor bent
Eén volle dag. Op locatie. Vaste prijs. U vertrekt met een Security Score rapport en — als er tijd is — een reeks verbeteringen die al uitgerold zijn.
